Podręcznik wdrażania 3m 1140164c

• Artykuł
12/21/2022
• Czas czytania: 5 min

Szablon podręcznika to wstępnie utworzony, przetestowany i gotowy do użycia przepływ pracy, który można dostosować do własnych potrzeb. Szablony mogą również służyć jako dokumentacja najlepszych rozwiązań podczas tworzenia podręczników od podstaw lub jako inspiracja dla nowych scenariuszy automatyzacji.

Szablony podręczników nie są samodzielnie aktywnymi podręcznikami, dopóki nie utworzysz podręcznika (edytowalnej kopii szablonu).

Wiele szablonów podręczników zostało opracowanych przez społeczność Microsoft Sentinel, niezależnych dostawców oprogramowania (ISV) i Microsoft własnych ekspertów w oparciu o popularne scenariusze automatyzacji używane przez centra operacji zabezpieczeń na całym świecie.

Szablony podręczników można pobrać z następujących źródeł:

• Karta Szablony podręczników (w obszarze Automatyzacja) przedstawia wiodące scenariusze współautora przez społeczność Microsoft Sentinel. Wiele aktywnych podręczników można utworzyć na podstawie tego samego szablonu.

  Po opublikowaniu nowej wersji szablonu aktywne podręczniki utworzone na podstawie tego szablonu (na karcie Podręczniki) zostaną oznaczone powiadomieniem o dostępności aktualizacji.

• Szablony podręczników można również uzyskać w ramach rozwiązania Microsoft Sentinel w kontekście określonego produktu. Wdrożenie rozwiązania generuje aktywne podręczniki.

• Repozytorium GitHub Microsoft Sentinel zawiera wiele szablonów podręczników. Można je wdrożyć w subskrypcji platformy Azure, wybierając przycisk Wdróż na platformie Azure.

  Technicznie szablon podręcznika to szablon usługi Azure Resource Manager (ARM), który składa się z kilku zasobów: przepływu pracy usługi Azure Logic Apps i połączeń interfejsu API dla każdego zaangażowanego połączenia.

  Ten artykuł koncentruje się na wdrażaniu szablonu podręcznika na karcie Szablony podręczników w obszarze Automatyzacja.

  Ten artykuł pomaga zrozumieć, jak wykonać następujące działania:

• Eksplorowanie wbudowanych szablonów podręczników
• Wdrażanie szablonu podręcznika

Eksplorowanie szablonów podręczników

W menu nawigacji Microsoft Sentinel wybierz pozycję Automatyzacja, a następnie kartę Szablony podręczników.

Szablony podręczników wyświetlane tutaj przedstawiają wiodące scenariusze automatyzacji, z których soc zwykle korzystają lub otrzymują pomysły. Większość tych podręczników została przyczyniła się do społeczności Microsoft Sentinel i pierwotnie znajdowała się w repozytorium GitHub Microsoft Sentinel. Niektóre z nich zostały zintegrowane z rozwiązaniami Microsoft Sentinel.

Aby znaleźć szablon podręcznika, który spełnia Twoje wymagania, możesz filtrować listę według następujących kryteriów:

• Wyzwalacz wskazuje, że element playbook jest wyzwalany przez utworzenie zdarzenia (i dlatego może być dołączony do reguły automatyzacji), przez utworzenie alertu (i w związku z tym można go dołączyć do reguły analizy) lub przez coś innego. Dowiedz się więcej

• Łączniki usługi Logic Apps pokazują usługi zewnętrzne, z którymi będzie współdziałać ten podręcznik. Podczas procesu wdrażania każdy łącznik będzie musiał założyć tożsamość, aby uwierzytelnić się w usłudze zewnętrznej.

• Jednostki pokazują typy jednostek jawnie filtrowane i analizowane przez podręcznik, który oczekuje znalezienia tych typów jednostek w zdarzeniu. Na przykład podręcznik informujący zaporę o zablokowaniu adresu IP będzie oczekiwać działania na zdarzeniach utworzonych przez reguły analizy, które generują alerty zawierające adresy IP, takie jak reguła wykrywania ataków siłowych.

• Tagi pokazują etykiety zastosowane do podręcznika, aby powiązać je z określonym scenariuszem lub wskazać specjalną charakterystykę.

  Przykłady:

• Wzbogacanie — podręcznik pobiera informacje z innej usługi, aby dodać informacje do zdarzenia. Te informacje są zwykle dodawane jako komentarz do zdarzenia lub wysyłane do SOC.

• Korygowanie — podręcznik podejmuje działania dotyczące jednostek, których dotyczy problem, aby wyeliminować potencjalne zagrożenie.

• Synchronizacja — podręcznik pomaga zachować usługę zewnętrzną, taką jak usługa zarządzania zdarzeniami, zaktualizowana o właściwości zdarzenia.

• Powiadomienie — podręcznik wysyła wiadomość e-mail lub wiadomość.

• Odpowiedź z usługi Teams — podręcznik umożliwia analitykom wykonywanie ręcznej akcji z usługi Teams przy użyciu kart interaktywnych.

  Dostosowywanie podręcznika na podstawie szablonu

  W tej procedurze opisano sposób wdrażania szablonów podręczników.

  Ten proces można powtórzyć, aby utworzyć wiele podręczników w tym samym szablonie.

  1. Wybierz nazwę podręcznika na karcie Szablony podręczników.

  2. Jeśli podręcznik ma jakiekolwiek wymagania wstępne, pamiętaj, aby postępować zgodnie z instrukcjami.

  3. Niektóre podręczniki będą wywoływać inne podręczniki jako akcje. Ten drugi podręcznik jest nazywany zagnieżdżonym podręcznikiem. W takim przypadku jednym z wymagań wstępnych będzie najpierw wdrożenie zagnieżdżonego podręcznika.

  4. Niektóre podręczniki będą wymagać wdrożenia niestandardowego łącznika usługi Logic Apps lub funkcji platformy Azure. W takich przypadkach zostanie wyświetlony link Wdróż na platformie Azure, który spowoduje przejście do ogólnego procesu wdrażania szablonu usługi ARM.

  5. Wybierz pozycję Utwórz podręcznik, aby otworzyć kreatora tworzenia podręcznika na podstawie wybranego szablonu. Kreator ma cztery karty:

  6. Podstawy: Znajdź nowy podręcznik (zasób usługi Logic Apps) i nadaj mu nazwę (może użyć wartości domyślnej).

  7. Parametry: Wprowadź wartości specyficzne dla klienta, które będą używane przez podręcznik. Jeśli na przykład ten podręcznik wyśle wiadomość e-mail do SOC, możesz zdefiniować tutaj adres adresata. Ta karta będzie wyświetlana tylko wtedy, gdy podręcznik ma parametry.

     Uwaga

     Jeśli ten podręcznik ma łącznik niestandardowy, powinien zostać wdrożony w tej samej grupie zasobów i będzie można wstawić jej nazwę na tej karcie. com/pl-pl/azure/sentinel/media/use-playbook-templates/parameters. png" alt="Kreator tworzenia podręcznika, karta parametrów" data-linktype="relative-path"/>

  8. Połączenia: Rozwiń każdą akcję, aby zobaczyć istniejące połączenia utworzone dla poprzednich podręczników. Dowiedz się więcej o tworzeniu połączeń dla podręczników.

     W przypadku łączników niestandardowych połączenia będą wyświetlane według nazwy łącznika niestandardowego wprowadzonego na karcie Parametry. com/pl-pl/azure/sentinel/media/use-playbook-templates/connections. png" alt="Kreator tworzenia podręcznika. karta połączeń" data-linktype="relative-path"/>

     Jeśli nie ma żadnych lub jeśli chcesz utworzyć nowe, wybierz pozycję Utwórz nowe połączenie po wdrożeniu. Spowoduje to przejście do projektanta usługi Logic Apps po zakończeniu procesu wdrażania.

     W przypadku łączników obsługujących nawiązywanie połączenia z tożsamością zarządzaną, na przykład Microsoft Sentinel, będzie to metoda połączenia wybrana domyślnie.

  9. Przeglądanie i tworzenie: Wyświetl podsumowanie procesu i poczekaj na weryfikację danych wejściowych przed utworzeniem podręcznika.

  10. Po wykonaniu kroków kreatora tworzenia podręcznika na końcu nastąpi przejście do projektu przepływu pracy nowego podręcznika w projektancie usługi Logic Apps. com/pl-pl/azure/sentinel/media/use-playbook-templates/designer. png" alt="Zobacz podręcznik w projektancie usługi Logic Apps" data-linktype="relative-path"/>

  11. Dla każdego łącznika wybranego do utworzenia nowego połączenia po wdrożeniu:

  12. W menu nawigacji wybierz pozycję Połączenia interfejsu API.

  13. Wybierz nazwę połączenia.

  14. Wybierz pozycję Edytuj połączenie interfejsu API z menu nawigacji.

  15. Wypełnij wymagane parametry i kliknij przycisk Zapisz.

  Alternatywnie możesz utworzyć nowe połączenie z poziomu odpowiednich kroków w projektancie usługi Logic Apps:

• Dla każdego kroku, który pojawia się z znakiem błędu, wybierz go, aby rozwinąć.

• Wybierz pozycję Dodaj nowy.

• Uwierzytelnianie zgodnie z odpowiednimi instrukcjami.

• Jeśli istnieją inne kroki korzystające z tego samego łącznika, rozwiń swoje pola. Z wyświetlonej listy połączeń wybierz właśnie utworzone połączenie.

• Jeśli wybrano użycie połączenia tożsamości zarządzanej dla usługi Microsoft Sentinel (lub innych obsługiwanych połączeń), przyznaj uprawnienia do nowego podręcznika w obszarze roboczym usługi Microsoft Sentinel (lub w odpowiednich zasobach docelowych dla innych łączników).

• Zapisz podręcznik. Teraz będzie można go zobaczyć na karcie Aktywne podręczniki.

• Aby uruchomić ten podręcznik, ustaw automatyczną odpowiedź lub uruchom ręcznie.

• Większość szablonów może być używana jako jest, ale zalecamy wprowadzenie wszelkich korekt wymaganych do dopasowania nowego podręcznika do potrzeb SOC.

  Rozwiązywanie problemów

  Problem: Znaleziono usterkę w podręczniku

  Aby zgłosić usterkę lub zażądać ulepszenia podręcznika, wybierz link Obsługiwane przez w okienku szczegółów podręcznika. Jeśli jest to podręcznik obsługiwany przez społeczność, link spowoduje otwarcie problemu z usługą GitHub. W przeciwnym razie nastąpi przekierowanie do strony pomocnika.

  Następne kroki

  W tym artykule przedstawiono sposób pracy z szablonami podręczników, tworzeniem i dostosowywaniem podręczników zgodnie z potrzebami. Dowiedz się więcej o podręcznikach i automatyzacji w usłudze Microsoft Sentinel:

• Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) w usłudze Microsoft Sentinel
• Automatyzowanie reagowania na zagrożenia przy użyciu podręczników w usłudze Microsoft Sentinel
• Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel
• Uwierzytelnianie podręczników w usłudze Microsoft Sentinel
• Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel